Ошибки при формировании информационной безопасности в компании. Ч. 2.

Продолжение. Первая часть .

Ситуация четвертая. «А если ты потеряешь запасной билет? – А на этот случай у меня есть проездной!» - отсутствие риск-ориентированного подхода в управлении ИБ.

Иннокентий прекрасно понимает, что СУИБ опирается на людей, процессы и технологии. И только работая по всем трем фронтам, можно добиться желаемых результатов, удовлетворить все заинтересованные стороны, достигнуть целей информационной безопаности.

Ошибки при формировании информационной безопасности в компании. Ч. 2., ICL Services, информационная безопасность, формирование системы управления информационной безопасностью, ИБ, кибербезопасность, безопасность информационная, информационные технологии

Он начинает планировать мероприятия по достижению целей ИБ. И чем дальше Иннокентий продвигается в этом направлении, тем больше он понимает (отвечая самому себе на очевидные вопросы:

- что нужно сделать?

- какие понадобятся ресурсы?

- кто будет отвечать за реализацию?

- когда меры будут реализованы?

- как оценить результаты внедрения?

- что с целями что-то не так: очень уж дорого и сложно получается их достигнуть.

Читайте также: 10 типичных ошибок руководителя ИБ

«Идти к руководству с таким планированием – это риск», - подумал Иннокентий. И правильно сделал.

Иннокентий своевременно понял, что нужно учитывать риски при определении целей ИБ и планировать меры по достижению целей, исходя из принципа разумной достаточности.

Но какие риски у компании есть? Изучив лучшие практики по управлению рисками, Иннокентий пришел к руководству с адаптированным под организацию подходом к управлению рисками (контекстом управления рисками ИБ, критериями, верхнеуровневой схемой процесса, и т.д.).

К счастью (и не только для Иннокентия), данный подход был принят руководством, была сформирована и согласована модель угроз, сформирована карта рисков, которые необходимо теперь оценить. «Иннокентий, ты же Ибэшник? Вот ты и оцени», - сказало руководство, но Иннокентий стоял на своем.

Ошибки при формировании информационной безопасности в компании. Ч. 2., ICL Services, информационная безопасность, формирование системы управления информационной безопасностью, ИБ, кибербезопасность, безопасность информационная, информационные технологии

Он донес до всех заинтересованных сторон, что оценивать риск и принимать ответственность за его оценку и стратегию обработки нужно представителям бизнеса, тем, кому будет реально «плохо» от реализации выявленных рисков, тем, кто может принимать решения о выделении ресурсов для снижения рисков, и что он, как «Ибэшник», будет им в этом помогать.

Смотрите также: Взаимодействие HR со Службой безопасности

Теперь, когда риски стали известны, Иннокентий дал руководству взглянуть на определенные ранее цели ИБ с другого ракурса и все стало на свои места. «Ну что? Теперь можно приступить к планированию», - сказал себе Иннокентий и засучил рукава.

Продолжение следует...

Фото Pixabay

При использовании материала гиперссылка на соответствующую страницу портала HR-tv.ru обязательна

0

Что Вы думаете об этом?

Прокомментировать

Рекомендуемые материалы